Ви вже читали публікацію “Безпечний блог на WordPress” та її продовження, у якій я розповідав, що потрібно зробити, аби максимально захистити свій блог від зловмисників. Сьогодні хочеться дати декілька коротких порад для тих, хто віддає перевагу практиці та не любить багато читати.

Доступ до wp-admin по IP

Надати доступ тільки своїм IP адресам до директорії wp-admin – це дуже сильна річ. Це зупинить тих, хто намагатиметься зламати блог, використовючи brute force (не зупинить тільки Вас 🙂 ), також Ви будете впевнені, що тільки Ви можете керувати Вашим блогом. Отже зробити потрібно наступне – додайте до файлу .htaccess у кореневій директорії Вашого сайту наступне:
[html]

Order deny,allow
Deny from All
Allow from 123.456.789.0

[/html]

Підставте замість 123.456.789.0 своє значення.

Супер складний пароль доступу до бази даних

Використання складного пароля доступу до бази даних дуже ускладнює зловмисникам роботу по її взлому. Ще одна важлива річ – це зміна стандартних назв таблиць WordPress. Згенерувати пароль Ви можете, наприклад, використовуючи онлайн генератори паролів. А от як змінити імена, Ви можете дізнатись подивившись описану вище статтю – Безпечний блог на WordPress (частина 2).

Захист wp-config.php

Все, що зроблено для захисту Вашого блогу на попередньому кроці, буде марним, якщо не захистити файл wp-config.php. Саме в ньому зберігається уся інформація для доступу до БД. Додайте наступний код до .htaccess,аби захистити найцінніше, що у Вас є – інформацію:
[html]
# protect wpconfig.php

order allow,deny
deny from all

[/html]

Будьте обережні з плагінами

Плагіни – це ще один шлях несанкційованого доступу до Вашого блогу. Поганий не професійний код плагіну може стати чорним входом для хакерів. Завжди будьте обережні при встановлені нових плагінів!

Використовуйте SSL

SSL шифрує дані. Тобто зазвичай Ваш пароль надсилається серверу беззахисним, і його можна відновити, перехопивши дані. Якщо Ваш хостинг надає SSL сертифікати, отримайте його та використовуйте(з одним із доступних плагінів).

Оновлюйтесь до останніх версій!

Кожний новий випуск WordPress, зазвичай містить виправлення, що стосуються безпеки. Отже завжди оновлюйтесь до останніх версій! Але не забувайте перед кожним оновлення робити резервну копію Вашої бази даних!

Захистіться від переінсталяції

Після встановлення блогу видалить з директорії /wp-admin/ файл install.php. Це не дозволить зловмисникам запустити процес інсталяції другий раз.

Зупиніть СПАМ

Один із шляхів зупинити спам коментарі – не дозволити працювати спам-скриптам, які приходять на блог без реферів (не за посиланнями), за допомогою наступного коду у .htaccess:
[html]
#Stop spammers

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post. [NC]
RewriteCond %{HTTP_REFERER} !.*wordpress. [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) – [F,L]

[/html]
Лише замініть слово wordpress на назву свого домену

Відключіть повідомлення про помилки

Наостанок, невелика, але дуже корисна порада – не показуйте помилки при вході на блог через форму логіну. Для цього додайте у Ваш functions.php, який знаходиться у директорії з активною темою блогу, наступний код, що відключить повідомлення про помилки зі сторінки входу. Таким чином зловмисники не будуть знати, що вони ввели не вірно – логін чи пароль:
[php]
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
[/php]